我注意到(基于活动指示灯)两个交换机端口之间的VLANstream量正被发送到多个交换机端口。 这是我的场景: 端口1是VLAN 100的“模式访问”交换机端口(未标记100)。 端口2是VLAN 101的“模式访问”交换机端口(无标记101)。 端口5是VLAN 100和VLAN 101的中继(标记为100,标记为101)。 我有端口1上的主机与端口2上的主机通话。当他们正在互相通话(单播)时,我看到端口1,2和5点亮,表示它也将单播stream量发送到端口5。我还通过Wireshark在端口5上嗅探数据包时观察端口1和2之间的单播stream量,从而证实了这一点。为什么当交换机完全能够确定主机位于端口1和端口2时,它将数据发送到端口5 ? 我以前用交换机的理解是,它build立一个在端口上看到的mac地址的CAM表。 它的CAM表应该告诉交换机源和目标主机在端口1和2上。没有理由也应该去5,因为那里没有主机。 这不是一个生产开关(还)。 所以我的networking上只有三个主机。 这是我的configuration: interface vlan 100 ip address dhcp ! interface vlan 101 ! interface ge1 switchport mode access switchport access vlan 100 ! interface ge2 switchport mode access switchport access vlan 101 ! interface ge5 switchport trunk allowed vlan add 100,101 […]
我应该使用什么Mac应用程序来连接到Cisco VPN?
我遇到的问题是,我们的某个DMZnetworking上的某些用户没有从内部接口上的Windows DHCP服务器获取DHCP地址。 因为不是每个人都受到影响,所以难以排除故障。 下面是我看到的日志,任何想法要看什么: Apr 13 13:28:11 172.xxx Apr 13 2011 13:28:11: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 Apr 13 13:28:12 172.xxx Apr 13 2011 13:28:12: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 Apr 13 13:28:14 172.xxx Apr 13 2011 13:28:14: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 ASA DHCPconfiguration: dhcprelay […]
我不是一个networking人,并想知道如何设置下面的两个configuration和他们的利弊: networking组件: – WAN:Cisco 2970 * 1 负载平衡器:F5开关1600 * 2 私有子网:Cisco 2960 * 2 我的情况是这样的,我的F5交换机1600将连接到公共(WAN)上游的Cisco 2970,并且我的所有主机将连接到一对Cisco 2960专用局域网,然后互连到这对F5交换机1600,提供负载平衡以及容错function。 我所有的主机都配备了两个以太网接口(其中大多数都使用broadcom 5700),他们将组队,每个接口将连接到一个Cisco交换机,以提供容错和链路聚合。 我的问题是,我怎样才能configuration我的设备(思科2970,F5交换机1600,思科2960以及我的主机)物理(布线)和逻辑(系统configuration?),他们有什么优点和缺点? 主机使用balance-ALB。 主机使用802.3ad。
我正在导入一个zabbix模板,项目加载成功 XML模板的片段: <triggers> <trigger> <description>PING response on Vlan1</description> <type>1</type> <expression>{11.11.11.11:icmpping['11.11.11.11'].last(0)}=0</expression> <status>0</status> <priority>0</priority> <comments>Interface: Vlan1 is down</comments> </trigger> </triggers> </host> </hosts> </zabbix_export> 但是当它在导入时到达触发器部分时会出现以下错误: Added new item Template_Test_Router_Ping:icmpping[11.11.11.11,3,25,68,500] [ CTrigger::create ] No permissions ! 任何想法哪些权限是指?
有人可以给我一个path(或链接到文档/如何)在Cisco ASA for RemoteVPN(使用Anyconnect客户端)上实现双因素身份validation(LDAP密码+证书)? 目前我们的思科ASA(5505,8.4.3)configuration为使用OpenLDAP服务器进行密码authentication。 我们使用RemoteVPN与AnyConnect客户端(SSL VPN)。 我想将证书添加到authentication/授权过程中。 我不想使用任何外部证书颁发机构。 我甚至可能不需要每个用户的个人证书。 我需要的仅仅是检查用户是否具有有效的证书之前/之后/期间的身份validation/授权LDAP的密码。 说实话,现在我不清楚它应该如何工作。 1)首先,我不明白,应该在哪里configurationCisco ASA。 我应该通过我的OpenLDAP服务器为我的隧道组启用证书和aaa身份validation“(config-tunnel-webvpn)#authentication aaa certificate”吗? 那么它将如何工作? OpenLDAP是否支持证书validation? 或者我需要使用辅助身份validation来添加证书? 我需要然后configuration一些服务器,然后进行二次authentication? 或者我需要进行其他configuration,如CA权限? 那么CA权威机构如何从OpenLDAP获取用户名呢? 或者我可以为所有用户制作一个证书(这样的安全级别对我的公司来说是完全够用的)? 2)证书validation过程如何工作? 思科ASA如何validation证书? 是不是像openssl私人/公共密钥或不? 我可以在ASA上设置本地CA权限,但仍然可以从OpenLDAP获得所有用户吗? 它会从证书中提取用户名还是以某种方式使用证书本身进行身份validation? 非常感谢您提前。
我在思科ASA 5505上设置了一个远程访问VPN。我可以通过我的电话或思科客户端连接到我的ASA,但是当通过VPN连接时,我无法连接到内部局域网中的设备。 设置如下: 内网:10.0.0.0/24 VPN_POOL:172.16.0.0/24外网:192.168.1.0/24 ASA不是外围路由器,在连接到我的有线电视提供商的192.168.1.0/24networking上有另一个设备。 显然UDP端口500和4500被转发到ASA的外部接口。 一切工作完美,除了VPN的东西。 configuration: interface Vlan1 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 interface Vlan2 description Outside Interface nameif outside security-level 0 address 192.168.1.254 255.255.255.0 object network VPNPOOL subnet 172.16.0.0 255.255.255.0 object network INSIDE_LAN subnet 10.0.0.0 255.255.255.0 然后是免除NAT规则。 nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPNPOOL VPNPOOL 我不认为这是VPNconfiguration的问题,因为我可以成功build立VPN连接,但只是为了防止在这里发布: […]
我已经使用最基本的设置来configuration我的内部VLAN,其中端口1-7是从192.168.15.5 – > 192.168.15.36范围内的地址池中分配的。 这些主机被授予访问互联网,它很好。 我现在想要设置的是允许连接到设备的用户指定他们的IP(比如我的连接和请求192.168.15.45)可以访问互联网,并且仍然可以和DHCP主机一起工作。 那些具有DHCP分配地址的人被阻止从互联网。 大部分的问题在于,我对这个设备的使用非常新颖。 我觉得这个解决scheme很简单,但是我没有find正确的地方,也没有正确的术语来search它。 我需要定义访问控制列表吗? 组策略? 一个新的VLAN? 设置的规则似乎是特定于整个/ 24子网,但是当我请求在DHCP范围之外的静态IP时,我被阻止从其他主机和互联网。 按照要求: interface Vlan1 description VLAN to inside hosts nameif inside security-level 100 ip address 10.100.31.1 255.255.255.0 ! access-list outside_access_in extended permit icmp any any access-list semc_splitTunnelAcl standard permit 10.100.31.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 10.100.31.0 255.255.255.0 10.100.31.192 255.255.255.192 access-list inside_nat0_outbound […]
我有几台机器正在使用我正在构build群集。 为了提高性能,我们select在以太网接口上使用绑定(每个链路都是1Gig)。 我已经安装了Ubuntu 10.04的ifenslave-2.6模块,我也configuration了接口。 以下是我的configuration。 # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet manual bond-master bond0 auto eth1 iface eth1 inet manual bond-master bond0 auto bond0 iface bond0 inet static address xxxx gateway xxx1 netmask 255.255.255.0 bond-mode 6 bond-miimon 100 bond-slaves none […]
我们目前有一个交换拓扑结构,其中两个7600构成核心,每个机架顶部有许多接入层4948。 他们都集中到两个7600s。 我想迁移到Nexus环境。 我的问题是Nexus系列可以与4948s共存吗? 从文档看来,似乎可以为每个4948创build一个vPC,如下所示: vPC1: 4948 rack 1 Te1/49 —> Nexus1, 4948 rack 1 Te1/50 —> Nexus2 vPC2: 4948 rack 2 Te1/49 —> Nexus1, 4948 rack 2 Te1/50 —> Nexus2 . . . vPCN: 4948 rack N Te1/49 —> Nexus1, 4948 rack N Te1/50 —> Nexus2 目前的设置显然留下了一个由STP阻止的Te。 这是真的(如果这是可能的),4948s将利用两个Te接口,因为vPCs是非阻塞的? 这是一个可行的设置?